Norme de sécurité des données de l'industrie des cartes de paiement

Guide de conformité PCI DSS

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) protège les données des titulaires de cartes chez les commerçants, les prestataires de services et les processeurs de paiement. Que vous soyez de niveau 1 ou de niveau 4, nous vous aidons à mettre en oeuvre les 12 exigences avec des preuves claires et une préparation à l'audit.

Commencer l'évaluation de conformité Réserver un appel de mise en oeuvre

Qu'est-ce que le PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de cartes de crédit maintiennent un environnement sécurisé. Elle est gérée par le PCI Security Standards Council, fondé par les principales marques de cartes (Visa, Mastercard, American Express, Discover, JCB).

Pourquoi c'est important maintenant : PCI DSS v4.0 est devenu obligatoire le 31 mars 2024. La norme mise à jour introduit des approches de mise en oeuvre personnalisées, des exigences MFA étendues et des protections e-commerce contre les attaques de skimming sur les pages de paiement.

Exigence contractuelle

Appliquée par les marques de paiement et les banques acquéreuses

Conformité continue

Évaluations annuelles, analyses trimestrielles, contrôles continus

Complète la conformité SOC 2 et la certification ISO 27001.

Qui doit se conformer ?

Commerçants

Toute organisation acceptant les cartes de paiement (tous volumes)

Prestataires de services

Entités traitant, stockant ou transmettant des CHD pour le compte d'autrui

Processeurs de paiement

Tiers traitant les transactions par carte

Passerelles de paiement

Plateformes e-commerce manipulant les données de carte

Hébergeurs

Infrastructure hébergeant les systèmes CDE

Applications de paiement

Éditeurs de logiciels avec des applications validées PA-DSS/PCI SSF

Comment VerifyWise soutient la conformité PCI DSS

Des capacités concrètes qui répondent aux contrôles de chaque exigence

Inventaire et classification des données des titulaires de cartes

Suivez les flux de données des titulaires de cartes (CHD) à travers les systèmes. Cartographiez les numéros de compte principal (PAN), les données d'authentification sensibles et les codes de service pour identifier les emplacements de stockage, les chemins de transmission et les périodes de conservation.

Couvre : Exigence 3 : Protéger les données stockées des titulaires de cartes, Exigence 4 : Chiffrer la transmission

Documentation de la segmentation réseau

Documentez l'architecture réseau montrant les limites de l'environnement des données des titulaires de cartes (CDE). La plateforme maintient les diagrammes réseau, les règles de pare-feu et les contrôles de segmentation pour les exigences 1 et 2.

Couvre : Exigence 1 : Installer et maintenir les contrôles de sécurité réseau, Exigence 2 : Appliquer des configurations sécurisées

Suivi du contrôle d'accès et de l'authentification

Gérez l'accès des utilisateurs aux systèmes CDE avec des contrôles basés sur les rôles. Suivez les mécanismes d'authentification, le déploiement de l'authentification multifacteur et l'attribution d'identifiants uniques pour la conformité à l'exigence 8.

Couvre : Exigence 7 : Restreindre l'accès, Exigence 8 : Identifier les utilisateurs et authentifier l'accès

Cycle de vie de la gestion des vulnérabilités

Suivez la gestion des correctifs, les déploiements antivirus et les pratiques de développement sécurisé. La plateforme maintient les résultats des analyses de vulnérabilités, les délais de remédiation et les preuves de codage sécurisé.

Couvre : Exigence 5 : Protéger les systèmes contre les logiciels malveillants, Exigence 6 : Développer et maintenir des systèmes sécurisés

Preuves de journalisation et de surveillance

Centralisez la conservation des journaux d'audit, les calendriers de révision et les configurations des systèmes de détection d'intrusion (IDS). Générez des preuves pour l'analyse des journaux, la surveillance de l'intégrité des fichiers et la corrélation des événements de sécurité.

Couvre : Exigence 10 : Journaliser et surveiller les accès, Exigence 11 : Tester la sécurité régulièrement

Gestion des politiques et réponse aux incidents

Maintenez la suite complète de politiques PCI DSS avec contrôle de version et flux d'approbation. Documentez les plans de réponse aux incidents, la formation de sensibilisation à la sécurité et les évaluations annuelles des risques.

Couvre : Exigence 12 : Soutenir la sécurité de l'information avec des politiques, Exigence 9 : Restreindre l'accès physique

Toutes les activités de conformité sont suivies avec des horodatages, des responsables assignés et des flux d'approbation. Cette piste d'audit démontre une conformité continue plutôt qu'une documentation ponctuelle.

Couverture complète des exigences PCI DSS

VerifyWise fournit des outils dédiés pour les 12 exigences réparties sur 6 objectifs de sécurité

Exigences PCI DSS

Exigences avec des outils dédiés

100%

Couverture sur tous les objectifs de sécurité

Sécurité réseau8/8

Pare-feu, chiffrement, configurations sécurisées

Données des titulaires6/6

Stockage, transmission, élimination

Gestion des vulnérabilités6/6

Correctifs, antivirus, développement sécurisé

Contrôle d'accès7/7

Authentification, autorisation, physique

Surveillance5/5

Journalisation, tests, réponse aux incidents

Politiques3/3

Politique de sécurité, évaluations

Conçu pour la conformité de sécurité des paiements

Cartographie des données des titulaires

Suivez les flux CHD et les limites du CDE avec découverte automatisée

Intégration des analyses ASV

Suivi et remédiation des analyses de vulnérabilités externes trimestrielles

Génération de ROC et SAQ

Dossiers de preuves pour les audits QSA ou les auto-évaluations

Correspondance multi-cadres

Correspondances avec SOC 2, ISO 27001 et les exigences NIST CSF

12 exigences PCI DSS

Organisées sous 6 objectifs de sécurité pour une protection complète des données des titulaires de cartes

Construire et maintenir un réseau et des systèmes sécurisés

Exigence 1

Installer et maintenir les contrôles de sécurité réseau

Les pare-feu et routeurs protègent l'environnement des données des titulaires de cartes

Exigence 2

Appliquer des configurations sécurisées à tous les composants du système

Les paramètres par défaut des fournisseurs sont modifiés, les services inutiles sont désactivés

Protéger les données des titulaires de cartes

Exigence 3

Protéger les données stockées des titulaires de cartes

Le stockage des CHD est minimisé, le PAN est masqué, le chiffrement est appliqué

Exigence 4

Protéger les données des titulaires de cartes avec une cryptographie forte lors de la transmission

Chiffrement sur les réseaux ouverts et publics

Maintenir un programme de gestion des vulnérabilités

Exigence 5

Protéger tous les systèmes et réseaux contre les logiciels malveillants

Antivirus et anti-malware déployés et maintenus

Exigence 6

Développer et maintenir des systèmes et logiciels sécurisés

Correctifs de sécurité, pratiques de développement sécurisé

Mettre en oeuvre des mesures de contrôle d'accès strictes

Exigence 7

Restreindre l'accès aux composants du système et aux données des titulaires de cartes

Accès basé sur le besoin d'en connaître, contrôles basés sur les rôles

Exigence 8

Identifier les utilisateurs et authentifier l'accès aux composants du système

Identifiants uniques, authentification multifacteur

Exigence 9

Restreindre l'accès physique aux données des titulaires de cartes

Contrôles de sécurité physique pour les systèmes et les supports

Surveiller et tester régulièrement les réseaux

Exigence 10

Journaliser et surveiller tous les accès aux composants du système et aux données des titulaires de cartes

Pistes d'audit, processus de révision des journaux

Exigence 11

Tester régulièrement la sécurité des systèmes et réseaux

Analyses de vulnérabilités, tests d'intrusion

Maintenir une politique de sécurité de l'information

Exigence 12

Soutenir la sécurité de l'information avec des politiques et programmes organisationnels

Politique de sécurité, évaluation des risques, réponse aux incidents

Changements clés de PCI DSS v4.0

Mises à jour majeures de la v3.2.1 à la v4.0 en vigueur le 31 mars 2024

Mise en oeuvre personnalisée

L'analyse de risque ciblée remplace les contrôles universels
Les organisations définissent la fréquence des contrôles selon leur profil de risque
Flexibilité dans la manière de satisfaire les exigences

Améliorations de l'authentification

Authentification multifacteur (MFA) étendue à tous les accès au CDE
MFA requise pour l'accès administratif et l'accès à distance
MFA résistante au phishing encouragée

E-commerce et phishing

Nouvelle exigence de détection et réponse au code non autorisé sur les pages de paiement
Surveillance des scripts et détection des changements pour les formulaires de paiement web
Protection contre les attaques de type skimming

Rôles et responsabilités

Documentation explicite des rôles PCI DSS requise
Responsabilité attribuée pour chaque exigence
Parrainage exécutif documenté

Calendrier de transition : La v3.2.1 a été retirée le 31 mars 2024. Toutes les entités doivent valider leur conformité à la v4.0. Certaines exigences ont des dates d'entrée en vigueur futures jusqu'au 31 mars 2025 (désignées comme « meilleure pratique d'ici là »).

Niveaux de conformité des commerçants

Les exigences varient en fonction du volume annuel de transactions

Niveau 1

6M+ transactions par an

Exigences de validation

Évaluation annuelle sur site par un QSA ou un auditeur interne (si signée par un dirigeant)
Analyses réseau trimestrielles par un ASV
Soumission du rapport de conformité (ROC)
Attestation de conformité (AOC)

Risque de pénalité

Risque le plus élevé : amendes de 5K-100K$/mois, pénalités des marques de cartes

Niveau 2

1M-6M transactions par an

Exigences de validation

Questionnaire d'auto-évaluation annuel (SAQ)
Analyses réseau trimestrielles par un ASV
Attestation de conformité (AOC)
Un audit sur site peut être requis selon la marque de carte

Risque de pénalité

Amendes substantielles, augmentation des frais de transaction

Niveau 3

20K-1M transactions e-commerce

Exigences de validation

Questionnaire d'auto-évaluation annuel (SAQ)
Analyses réseau trimestrielles par un ASV
Attestation de conformité (AOC)

Risque de pénalité

Amendes jusqu'à 50K$/mois, atteinte à la réputation

Niveau 4

Moins de 20K e-commerce ou 1M total

Exigences de validation

Questionnaire d'auto-évaluation annuel (SAQ)
Analyses réseau trimestrielles par un ASV (si applicable)
La validation de conformité peut varier selon l'acquéreur

Risque de pénalité

Amendes plus faibles mais risque de suspension du traitement des cartes

Feuille de route de mise en oeuvre sur 24 semaines

Un parcours pratique vers la conformité PCI DSS avec des jalons clairs

Phase 1Semaines 1-4

Cadrage et découverte

Identifier tous les emplacements où les CHD sont stockées, traitées ou transmises
Cartographier la topologie réseau et définir les limites du CDE
Inventorier les systèmes, applications et connexions tierces
Déterminer le niveau de conformité et le type d'évaluation

Phase 2Semaines 5-10

Évaluation des écarts

Évaluer l'état actuel par rapport aux 12 exigences PCI DSS
Identifier les contrôles non conformes et les preuves manquantes
Prioriser la remédiation selon le risque et le calendrier d'évaluation
Créer une feuille de route de remédiation avec des responsables

Phase 3Semaines 11-20

Remédiation et tests

Mettre en oeuvre les contrôles techniques manquants (MFA, chiffrement, journalisation)
Déployer la segmentation réseau et les contrôles d'accès
Compléter la documentation des politiques et la formation de sensibilisation
Effectuer des analyses de vulnérabilités internes et des tests d'intrusion

Phase 4Semaines 21-24

Validation et certification

Engager un QSA ou compléter le SAQ selon le niveau
Exécuter les analyses réseau trimestrielles ASV
Générer le rapport de conformité (ROC) ou la soumission SAQ
Soumettre l'attestation de conformité à la banque acquéreuse

Pénalités et application

La non-conformité entraîne de graves conséquences financières

Les marques de cartes et les banques acquéreuses appliquent le PCI DSS par des pénalités contractuelles. Les amendes augmentent avec le niveau du commerçant et la durée de la non-conformité. Les violations de données ajoutent des coûts d'investigation, de notification et juridiques.

Amendes mensuelles

5 000 $ - 100 000 $/mois

Imposées par les marques de cartes pour non-conformité ou après une violation. Les amendes augmentent avec le niveau du commerçant et la durée de la non-conformité.

Trajectoire d'escalade

Les commerçants de niveau 1 font face aux amendes les plus élevées ; peut atteindre 100K$/mois indéfiniment jusqu'à rétablissement de la conformité

Augmentation des frais de transaction

0,01 $ - 0,10 $ par transaction

Les acquéreurs peuvent imposer des augmentations de frais aux commerçants non conformes. Sur des milliers de transactions mensuelles, cela crée un coût opérationnel substantiel.

Trajectoire d'escalade

Augmentation permanente des frais jusqu'à validation de la conformité ; impacte directement les marges bénéficiaires

Suspension du traitement des cartes

Résiliation immédiate

Les banques acquéreuses peuvent résilier l'accord commerçant, interdisant totalement l'acceptation des cartes. Représente une menace existentielle pour de nombreuses entreprises.

Trajectoire d'escalade

La réintégration nécessite une validation complète de conformité et la recherche d'un nouvel acquéreur (difficile avec un historique)

Coûts de violation

200 $ - 500 $ par enregistrement compromis

Les coûts de violation de données comprennent l'investigation forensique, la notification, les frais juridiques, la réémission de cartes et les pertes dues à la fraude. Coût total moyen : 4M$+ par violation.

Trajectoire d'escalade

Recours collectifs, pénalités réglementaires (RGPD, lois étatiques), atteinte à la réputation, perte de clients

Commencer l'évaluation de conformité

Modèles de politiques

Référentiel complet de politiques PCI DSS

Accédez à des modèles de politiques de sécurité des paiements prêts à l'emploi, alignés sur PCI DSS v4.0, SOC 2 et les exigences ISO 27001

Sécurité réseau

• Politique de configuration des pare-feu
• Politique de segmentation réseau
• Politique de sécurité sans fil
• Normes de durcissement des systèmes
• Gestion de la configuration
• Politique de contrôle des changements
+ 3 autres politiques

Protection des données

• Politique des données des titulaires de cartes
• Normes de chiffrement
• Politique de gestion des clés
• Politique de conservation des données
• Procédures d'élimination sécurisée
• Directives de tokenisation
+ 4 autres politiques

Accès et surveillance

• Politique de contrôle d'accès
• Authentification multifacteur
• Politique de mots de passe
• Politique de journalisation et surveillance
• Plan de réponse aux incidents
• Gestion des vulnérabilités
+ 5 autres politiques

Parcourir tous les modèles de politiques

Questions fréquemment posées

Questions courantes sur la conformité PCI DSS

Le PCI DSS s'applique à toutes les organisations qui stockent, traitent ou transmettent des données de titulaires de cartes, quelle que soit leur taille ou leur volume de transactions. Cela inclut les commerçants, les prestataires de services, les processeurs de paiement et toute entité manipulant des informations de cartes de paiement. La conformité est appliquée par les contrats avec les banques acquéreuses et les marques de cartes. Consultez le site officiel du PCI Security Standards Council pour les exigences complètes.

PCI DSS v4.0 (publié en mars 2022) a introduit la mise en oeuvre personnalisée, des exigences MFA étendues, des protections contre le skimming e-commerce et des rôles documentés. Changement clé : les organisations peuvent désormais utiliser l'analyse de risque ciblée pour définir la fréquence des contrôles. La v3.2.1 a été retirée le 31 mars 2024 ; toutes les entités doivent être conformes à la v4.0 d'ici le 31 mars 2025.

Le PCI DSS est spécifique au paiement et contractuellement requis, tandis que SOC 2 et ISO 27001 sont des cadres de sécurité de l'information plus larges. Les organisations poursuivent souvent les trois : PCI DSS assure la protection des données de carte, SOC 2 démontre les contrôles de sécurité globaux aux clients et ISO 27001 fournit une certification internationale. Un chevauchement significatif des contrôles existe, permettant des preuves partagées.

Le CDE est le sous-ensemble de votre environnement informatique qui stocke, traite ou transmet des données de titulaires de cartes ou des données d'authentification sensibles. Il comprend les personnes, les processus et les technologies qui interagissent avec les CHD. Un cadrage approprié pour minimiser le CDE réduit l'effort d'évaluation PCI DSS. La segmentation réseau isole le CDE des autres systèmes, limitant la portée de la conformité.

Un questionnaire d'auto-évaluation (SAQ) est un outil de validation permettant aux petits commerçants (généralement niveaux 2-4) de déclarer eux-mêmes leur conformité. Un rapport de conformité (ROC) est un document d'évaluation détaillé généré par un évaluateur de sécurité qualifié (QSA) pour les commerçants de niveau 1 ou les organisations choisissant une validation externe. Le ROC inclut l'examen des preuves, les entretiens et les tests techniques. Les deux aboutissent à une attestation de conformité (AOC) soumise à la banque acquéreuse.

La conformité initiale prend généralement 3 à 6 mois selon la maturité actuelle en matière de sécurité, la complexité du CDE et le niveau du commerçant. Les commerçants de niveau 1 nécessitant une remédiation importante peuvent avoir besoin de 6 à 12 mois. La conformité continue est permanente : analyses trimestrielles, évaluations annuelles, révisions des politiques et maintenance des preuves. Le cadrage et l'évaluation des écarts (4 à 6 premières semaines) déterminent le calendrier.

Cela dépend de votre intégration. Si vous utilisez une solution de paiement entièrement externalisée (par ex., page de paiement hébergée, redirection vers le processeur) où les CHD ne touchent jamais vos systèmes, vous êtes éligible au SAQ A (questionnaire le plus simple). Si les CHD transitent par vos systèmes même temporairement (par ex., terminal de paiement, paiement e-commerce), vous avez des obligations de conformité plus larges. La tokenisation et le chiffrement point à point (P2PE) réduisent la portée mais ne l'éliminent pas entièrement.

Les marques de cartes imposent des amendes de 5 000 $ à 100 000 $ par mois selon le niveau du commerçant et la gravité de la violation. Les acquéreurs peuvent ajouter des augmentations de frais de transaction (0,01 $-0,10 $ par transaction) ou résilier l'accord commerçant, interdisant l'acceptation des cartes. Les violations de données ajoutent des coûts forensiques, des frais de notification, des pertes dues à la fraude et des poursuites potentielles. Le coût moyen d'une violation dépasse 4 millions de dollars. Les pénalités continuent jusqu'à validation de la conformité.

Une validation annuelle est requise pour tous les niveaux de conformité. Les commerçants de niveau 1 nécessitent des évaluations annuelles sur site (QSA ou auditeur interne avec signature d'un dirigeant). Les niveaux 2-4 complètent des SAQ annuels. Tous les niveaux nécessitent des analyses réseau trimestrielles par un fournisseur d'analyses approuvé (ASV). Les activités de conformité continues comprennent les révisions de journaux, la gestion des vulnérabilités, les révisions d'accès et les mises à jour des politiques. La conformité n'est pas un événement ponctuel.

PCI DSS v4.0 exige la MFA pour tous les accès au CDE, y compris l'accès administratif, l'accès à distance et l'accès console. La MFA doit utiliser au moins deux facteurs d'authentification indépendants : quelque chose que vous connaissez (mot de passe), quelque chose que vous possédez (jeton, carte à puce) ou quelque chose que vous êtes (biométrique). La MFA résistante au phishing (par ex., FIDO2, PKI) est encouragée. L'authentification unique (SSO) seule ne satisfait pas la MFA sauf si elle est combinée avec une authentification supplémentaire.

Les déploiements cloud doivent satisfaire toutes les exigences PCI DSS. La responsabilité dépend du modèle de service : IaaS (vous gérez la plupart des contrôles), PaaS (responsabilité partagée) ou SaaS (le fournisseur gère l'infrastructure). Les fournisseurs cloud peuvent avoir des attestations PCI DSS, mais vous restez responsable de vos contrôles (gestion des accès, chiffrement, journalisation). Documentez la matrice de responsabilité avec le fournisseur cloud. La tokenisation et les services de chiffrement peuvent réduire la portée.

Oui, VerifyWise fournit des modules dédiés pour la gestion de la conformité PCI DSS. Suivez les flux de données des titulaires de cartes, documentez les limites du CDE, gérez les politiques et générez des preuves d'audit. Notre plateforme cartographie les contrôles sur les 12 exigences et prend en charge les évaluations des écarts, le suivi de la remédiation et la gestion des analyses ASV. Nous fournissons également des correspondances avec SOC 2, ISO 27001 et NIST AI RMF pour les organisations mettant en oeuvre plusieurs cadres.

Prêt à atteindre la conformité PCI DSS ?

Commencez votre parcours de conformité avec nos outils d'évaluation et de mise en oeuvre guidés.

Commencer l'évaluation de conformité Planifier une consultation